2024-03-28 19:10 (목)
MS 오피스, 자가 복제 멀웨어 생성 가능한 취약점 발견…패치 계획도 없어
상태바
MS 오피스, 자가 복제 멀웨어 생성 가능한 취약점 발견…패치 계획도 없어
  • 길민권 기자
  • 승인 2017.12.04 11:22
이 기사를 공유합니다

백신도 탐지 못해…피해자, 자신이 알지 못하는 사이 멀웨어 확산시켜

최근 이탈리아 보안전문가가 마이크로소프트(이하 MS)의 보안을 우회하고 MS 워드 문서에 숨겨진 자가 복제 멀웨어를 생성할 수 있는 간단한 기술을 소개한 바 있다.

이 연구원은 지난 10월 MS에 이 이슈를 제보했으나, MS는 이를 보안 결점으로 인정하지 않았다. MS는 이 기능이 MS 오피스 DDE 기능처럼 원래 의도된 대로 동작한다고 밝힌 바 있다. DDE 기능은 현재 해커들이 활발히 악용 중이다.

연구원들이 베트남의 누군가가 바이러스토탈에 업로드 한 qkG 랜섬웨어 샘플들을 발견했다. 그들은 이 랜섬웨어가 “실제로 활발히 사용 되는 멀웨어보다는 실험적인 프로젝트나 PoC같아 보인다”고 밝혔다.

qkG 랜섬웨어는 Auto Close VBA 매크로를 사용한다. 이는 피해자가 문서를 닫을 때 악성 매크로를 실행하는 기술이다.

qkG 랜섬웨어의 가장 최근 샘플은 비트코인 약 $300 상당을 요구하는 랜섬노트를 포함한다.

랜섬노트에 포함된 비트코인 주소로 아직까지 입금 된 돈이 없는 것을 봐서, 아직 사람들을 대상으로 배포되지 않았음을 의미한다.

또한 이 랜섬웨어는 현재 하드코딩 된 동일한 패스워드를 사용하고 있다. 영향을 받은 파일의 잠금을 해제하는 패스워드는 "I’m QkG@PTM17! by TNA@MHT-TT2"다.


해당 연구원은 악성 VBA코드가 포함 된 MS 워드 문서가 어떻게 자가 복제 다단계 멀웨어를 전달하는지 보여주는 영상을 공개했다.

‘VBA 프로젝트 개체 모델에 안전하게 액세스할 수 있음’ 세팅을 활성화 하면, MS 오피스는 모든 매크로를 신뢰하고 사용자에게 보안 경고를 보여주거나 허가를 받지 않고 모든 코드를 실행한다.

연구원은 이 설정이 윈도우 레지스트리를 수정하는 것 만으로 활성화/비활성화 될 수 있다는 것을 발견했다. 이로 인해 사용자의 동의나 인지 없이 더 많은 매크로를 활성화 할 수 있게 된다.

영상에서 보여진 대로, 악성 MS Doc 파일도 동일하다. 먼저 윈도우 레지스트리를 수정 후 동일한 매크로 페이로드(VBA) 코드를 희생양이 생성, 수정 또는 오픈하는 모든 doc 파일에 삽입한다.

즉 피해자가 실수로 매크로를 실행하게 되면 그의 시스템은 매크로 기반 공격에 노출된다.

게다가 이 사실을 알지 못하는 피해자는 악성코드가 포함 된 문서를 다른 사용자들에게 퍼뜨려 자신도 모르는 사이 멀웨어를 확산시킬 수 있다.

이 공격이 더욱 걱정스러운 점은 악성 파일을 수신하는 사람이 신뢰하는 사람으로부터 파일을 받는다는 것이다. 또한 수신자 역시 다음 공격 벡터가 된다는 점이다.

이 기술은 아직 실제로 악용 되지는 않았지만, 연구원들은 곧 위험한 자가복제 멀웨어를 확산시키는데 악용될 수 있다고 밝혔다. 또한 이는 정상적인 기능이기 때문에, 대부분의 안티바이러스 솔루션들은 이에 대한 경고를 표시하거나 VBA 코드가 포함 된 MS 오피스 문서를 차단하지 않는다. 또한 마이크로소프트도 이 기능을 제한할 패치를 발표할 계획이 없다.

연구원은 “이 취약점을 부분적으로 완화시키기 위해서는 AccessVBOM 레지스트리 키를 HKCU 하이브에서 HKLM으로 이동시켜 시스템 관리자만이 이를 수정할 수 있도록 하는 것”이라고 말했다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★